Freigeben über

Veraltete Softwareherausgeberzertifikate, kommerzielle Freigabezertifikate und kommerzielle Testzertifikate

  • Artikel

Achtung

Die meisten der übergreifenden Zertifikate sind im Juli 2021 abgelaufen. Sie können keine Codesignaturzertifikate verwenden, die mit abgelaufenen übergreifenden Zertifikaten verkettet sind, um neue digitale Kernelmodussignaturen für Windows zu erstellen, unabhängig von der Version.

Das Microsoft Trusted Root Program unterstützt keine Stammzertifikate mehr, die über Signaturfunktionen im Kernelmodus verfügen.

Richtlinienanforderungen finden Sie unter Windows 10 Kernelmodus-Codesignaturanforderungen.

Vorhandene übergreifend signierte Stammzertifikate mit Codesignaturfunktionen im Kernelmodus funktionieren bis zum Ablauf weiter. Alle Zertifikate des Softwareherausgebers, Zertifikate für kommerzielle Versionen und kommerzielle Testzertifikate, die zu diesen Stammzertifikaten zurückzuführen, werden ebenfalls nach demselben Zeitplan ungültig.

Damit Ihre Treiber signiert bleibt, sollten Sie sich zuerst für das Microsoft Windows-Hardwareentwicklerprogramm anmelden.

Häufig gestellte Fragen

Wie sieht der Ablaufzeitplan der vertrauenswürdigen übergreifenden Zertifikate aus?

Alle übergreifend signierten Stammzertifikate sind abgelaufen.

Welche Alternativen zu übergreifend signierten Zertifikaten stehen für das Testen von Treibern zur Verfügung?

Für alle unten aufgeführten Optionen muss die Startoption TESTSIGNING aktiviert sein.

Informationen zum Testen von Treibern beim Start finden Sie unter Installieren eines testsignierten Treibers, der für Windows Setup und Start erforderlich ist.

Weitere Informationen finden Sie unter Signieren von Treibern während der Entwicklung und des Tests.

Was geschieht mit meinen vorhandenen signierten Treiberpaketen?

Solange der Zeitstempel von Treiberpaketen vor dem Ablaufdatum des Blattsignaturzertifikats liegt, funktionieren sie weiterhin.

Gibt es eine Möglichkeit, Produktionstreiberpakete auszuführen, ohne sie für Microsoft verfügbar zu machen?

Nein, alle Produktionstreiberpakete müssen an Microsoft übermittelt und von Microsoft signiert werden.

Muss jede neue Produktionsversion eines Treiberpakets von Microsoft signiert werden?

Ja, jedes Mal, wenn ein Treiberpaket auf Produktionsebene neu erstellt wird, muss es von Microsoft signiert werden.

Können wir Nicht-Treibercode mit unseren vorhandenen Drittanbieterzertifikaten signieren?

Ja, diese Zertifikate funktionieren weiterhin, bis sie ablaufen. Code, der mit diesen Zertifikaten signiert ist, wird nur im Benutzermodus ausgeführt, es sei denn, er verfügt über eine gültige Microsoft-Signatur.

Kann ich mein EV-Zertifikat weiterhin zum Signieren von Übermittlungen an das Hardware Dev Center verwenden?

Ja, EV-Zertifikate funktionieren weiterhin, bis sie ablaufen. Wenn Sie einen Kernelmodustreiber mit einem EV-Zertifikat nach Ablauf des übergreifenden Zertifikats signieren, das dieses EV-Zertifikat ausgestellt hat, wird der resultierende Treiber nicht geladen, ausgeführt oder installiert.

Woher weiß ich, ob mein Signaturzertifikat von einem Ablauf betroffen ist?

Wenn Ihre zertifikatübergreifende Kette endet Microsoft Code Verification Root, wirkt sich das auf Ihr Signaturzertifikat aus.

Führen Sie zum Anzeigen der zertifikatübergreifenden Kette signtool verify /v /kp <mydriver.sys> aus. Zum Beispiel:

[Suche nach der zertifikatübergreifenden Kette.]

Wie können wir die Testsignierung von Microsoft unseren Buildprozessen entsprechend automatisieren?

Ihre Buildprozesse können die Hardware Dev Center-API aufrufen.

Verwendungsbeispiele finden Sie im Surface Dev Center Manager-Repository.

Ist Microsoft der einzige Anbieter von Kernelmodus-Codesignaturen für die Produktion?

Ja.

Hardware Dev Center stellt keine Treibersignierung für Windows XP bereit. Wie kann ich meine Treiber in XP ausführen?

Treiber können dennoch mit dem Codesignaturzertifikat eines Drittanbieters signiert werden. Das Zertifikat, das den Treiber signiert hat, muss jedoch auf dem Zielcomputer in den Zertifikatspeicher Local Computer Trusted Publishers importiert werden. Weitere Informationen finden Sie unter Zertifikatspeicher für vertrauenswürdige Herausgeber.

Wie unterscheiden sich die Produktionssignaturoptionen in den Windows-Versionen?

Warnung

Übergreifende Signaturen werden für die Treibersignierung nicht mehr akzeptiert. Die Verwendung von übergreifenden Zertifikaten zum Signieren von Kernelmodustreibern ist ein Verstoß gegen die TRP-Richtlinie (Microsoft Trusted Root Program). Das TRP unterstützt keine Stammzertifikate mehr, die über Signaturfunktionen für den Kernelmodus verfügen. Zertifikate, die gegen Microsoft TRP-Richtlinien verstoßen, werden von der Zertifizierungsstelle widerrufen.

Wenn Ihr Treiber unter Windows 7, 8 oder 8.1 ausgeführt wird, muss er über das Windows-Hardware-Kompatibilitätsprogramm signiert werden. Informationen zu den ersten Schritten finden Sie unter Erstellen einer neuen Hardwareübermittlung.

Verwenden Sie ab Windows 10 entweder eine WHCP- oder Nachweissignatur.

Wenn Sie Probleme beim Signieren Ihres Treibers mit WHCP haben, melden Sie die Einzelheiten mit einer der folgenden Methoden:

  • Verwenden Sie das Microsoft Collaborate-Portal, das über das Microsoft Partner Center-Dashboard verfügbar ist, und erstellen Sie ein Feedback, um den Fehler zu melden.
  • Wechseln Sie zum Windows-Support für Entwickler, wählen Sie die Registerkarte Kontakt aus, und wählen Sie im Feld Technischer Support neben Treiberentwicklung und Testen/Zertifizierung die Option Vorfall senden aus.